農村中小學無線網絡平臺建設方案

1、 金鉬股份工業(yè)園弱電系統(tǒng)信息化建設方案 農村中小學無線網絡平臺建設方案金鉬股份工業(yè)園弱電系統(tǒng)信息化建設方頁 DATE yyyy-MM-dd 2019-03-12華三通信技術有限公司第頁目 錄 TOC o 1-3 h z u HYPERLINK l _Toc3323470 第1章 需求分析 PAGEREF _Toc3323470 h 8 HYPERLINK l _Toc3323471 1.1. 總體要求 PAGEREF _Toc3323471 h 8 HYPERLINK l _Toc3323472 1.2. 項目需求概述 PAGEREF _Toc3323472 h 8 HYPERLINK l _

2、Toc3323473 1.3. 技術需求分析 PAGEREF _Toc3323473 h 9 HYPERLINK l _Toc3323474 第2章 無線校園網建設方案 PAGEREF _Toc3323474 h 11 HYPERLINK l _Toc3323475 2.1. 整體方案 PAGEREF _Toc3323475 h 11 HYPERLINK l _Toc3323476 2.2. 供電方式的選擇 PAGEREF _Toc3323476 h 11 HYPERLINK l _Toc3323477 2.3. 無線認證方案 PAGEREF _Toc3323477 h 12 HYPERLIN

3、K l _Toc3323478 2.3.1. H3C WLAN 用戶接入認證功能概述 PAGEREF _Toc3323478 h 12 HYPERLINK l _Toc3323479 2.3.2. Portal認證（Web認證） PAGEREF _Toc3323479 h 13 HYPERLINK l _Toc3323480 2.3.3. 802.1x接入認證 PAGEREF _Toc3323480 h 17 HYPERLINK l _Toc3323481 2.3.4. PSK接入認證 PAGEREF _Toc3323481 h 18 HYPERLINK l _Toc3323482 2.3.5

4、. MAC接入認證 PAGEREF _Toc3323482 h 19 HYPERLINK l _Toc3323483 2.3.6. EAP終結和本地認證 PAGEREF _Toc3323483 h 20 HYPERLINK l _Toc3323484 2.3.7. 本項目的認證方式 PAGEREF _Toc3323484 h 20 HYPERLINK l _Toc3323485 2.4. H3C無線頻譜分析方案 PAGEREF _Toc3323485 h 22 HYPERLINK l _Toc3323486 2.5. 無線安全方案 PAGEREF _Toc3323486 h 35 HYPERL

5、INK l _Toc3323487 2.5.1. 無線SAVI PAGEREF _Toc3323487 h 35 HYPERLINK l _Toc3323488 2.5.2. 無線SAVI典型配置 PAGEREF _Toc3323488 h 36 HYPERLINK l _Toc3323489 2.5.3. 防ARP病毒 PAGEREF _Toc3323489 h 39 HYPERLINK l _Toc3323490 2.5.4. 無線入侵檢測WIDS PAGEREF _Toc3323490 h 41 HYPERLINK l _Toc3323491 2.6. 漫游切換支持方案 PAGEREF

6、_Toc3323491 h 43 HYPERLINK l _Toc3323492 2.7. 業(yè)務QOS支持方案 PAGEREF _Toc3323492 h 44 HYPERLINK l _Toc3323493 2.8. 智能射頻管理方案 PAGEREF _Toc3323493 h 45 HYPERLINK l _Toc3323494 2.9. 智能負載均衡方案 PAGEREF _Toc3323494 h 46 HYPERLINK l _Toc3323495 2.10. IPV6支持方案 PAGEREF _Toc3323495 h 47 HYPERLINK l _Toc3323496 2.11.

7、 無線控制器N+1、1+1冗余備份方案 PAGEREF _Toc3323496 h 48 HYPERLINK l _Toc3323497 第3章 項目實施方案 PAGEREF _Toc3323497 h 54 HYPERLINK l _Toc3323498 3.1. 概述 PAGEREF _Toc3323498 h 54 HYPERLINK l _Toc3323499 3.1.1. 項目背景 PAGEREF _Toc3323499 h 54 HYPERLINK l _Toc3323500 3.1.2. 項目目標 PAGEREF _Toc3323500 h 54 HYPERLINK l _Toc

8、3323501 3.2. 無線覆蓋規(guī)劃原則 PAGEREF _Toc3323501 h 54 HYPERLINK l _Toc3323502 3.2.1. 頻率規(guī)劃 PAGEREF _Toc3323502 h 54 HYPERLINK l _Toc3323503 3.2.2. 頻率復用規(guī)劃 PAGEREF _Toc3323503 h 55 HYPERLINK l _Toc3323504 3.2.3. AP容量規(guī)劃 PAGEREF _Toc3323504 h 57 HYPERLINK l _Toc3323505 3.2.4. 覆蓋效果理論計算 PAGEREF _Toc3323505 h 58 H

9、YPERLINK l _Toc3323506 3.2.5. 覆蓋區(qū)域詳細說明 PAGEREF _Toc3323506 h 59 HYPERLINK l _Toc3323507 第4章 設備到貨驗收方案 PAGEREF _Toc3323507 h 61 HYPERLINK l _Toc3323508 4.1. 方案概述 PAGEREF _Toc3323508 h 61 HYPERLINK l _Toc3323509 4.2. 驗收設備范圍 PAGEREF _Toc3323509 h 62 HYPERLINK l _Toc3323510 4.3. 設備開箱準備 PAGEREF _Toc332351

10、0 h 62 HYPERLINK l _Toc3323511 4.3.1. 明確參加人員 PAGEREF _Toc3323511 h 62 HYPERLINK l _Toc3323512 4.3.2. 開箱準備 PAGEREF _Toc3323512 h 63 HYPERLINK l _Toc3323513 4.3.3. 注意事項 PAGEREF _Toc3323513 h 63 HYPERLINK l _Toc3323514 4.4. 開箱驗貨 PAGEREF _Toc3323514 h 63 HYPERLINK l _Toc3323515 4.4.1. 開箱方法 PAGEREF _Toc3

11、323515 h 63 HYPERLINK l _Toc3323516 4.4.2. 核對物料方法 PAGEREF _Toc3323516 h 72 HYPERLINK l _Toc3323517 4.4.3. 貨物加電驗收 PAGEREF _Toc3323517 h 74 HYPERLINK l _Toc3323518 4.4.4. 到貨即損（DOA）問題處理方法 PAGEREF _Toc3323518 h 74 HYPERLINK l _Toc3323519 4.4.5. 驗貨確認和貨物移交 PAGEREF _Toc3323519 h 79 HYPERLINK l _Toc3323520

12、4.4.6. 貨物搬運和存放注意事項 PAGEREF _Toc3323520 h 80 HYPERLINK l _Toc3323521 第5章 售后服務方案 PAGEREF _Toc3323521 h 83 HYPERLINK l _Toc3323522 5.1. H3C服務體系介紹 PAGEREF _Toc3323522 h 83 HYPERLINK l _Toc3323523 5.1.1. H3C公司全球技術服務部 PAGEREF _Toc3323523 h 83 HYPERLINK l _Toc3323524 5.1.2. H3C全球客戶服務呼叫中心 PAGEREF _Toc332352

13、4 h 84 HYPERLINK l _Toc3323525 5.1.3. H3C技術支持中心 PAGEREF _Toc3323525 h 84 HYPERLINK l _Toc3323526 5.1.4. H3C備件中心 PAGEREF _Toc3323526 h 85 HYPERLINK l _Toc3323527 5.1.5. H3C培訓中心 PAGEREF _Toc3323527 h 86 HYPERLINK l _Toc3323528 5.1.6. 報告輸出服務 PAGEREF _Toc3323528 h 88 HYPERLINK l _Toc3323529 5.1.7. 全天候72

14、4的遠程技術支持服務 PAGEREF _Toc3323529 h 88 HYPERLINK l _Toc3323530 5.1.8. 維護性軟件版本支持服務 PAGEREF _Toc3323530 h 89 HYPERLINK l _Toc3323531 5.1.9. 現場技術支持服務(7*24*2) PAGEREF _Toc3323531 h 89 HYPERLINK l _Toc3323532 5.1.10. 高級巡檢服務 PAGEREF _Toc3323532 h 90 HYPERLINK l _Toc3323533 5.1.11. 系統(tǒng)應急預案 PAGEREF _Toc3323533

15、h 91 HYPERLINK l _Toc3323534 5.1.12. 重要時刻專人值守服務 PAGEREF _Toc3323534 h 93 HYPERLINK l _Toc3323535 5.1.13. 研發(fā)現場支持服務 PAGEREF _Toc3323535 h 93 HYPERLINK l _Toc3323536 5.1.14. 網管系統(tǒng)開發(fā)支持 PAGEREF _Toc3323536 h 93 HYPERLINK l _Toc3323537 5.1.15. 定制化培訓支持 PAGEREF _Toc3323537 h 93 HYPERLINK l _Toc3323538 5.1.16

16、. 網站與論壇在線支持服務 PAGEREF _Toc3323538 h 94 HYPERLINK l _Toc3323539 5.1.17. 質保期后的支持與服務 PAGEREF _Toc3323539 h 94 HYPERLINK l _Toc3323540 第6章 培訓方案 PAGEREF _Toc3323540 h 95 HYPERLINK l _Toc3323541 6.1. H3C培訓總體介紹 PAGEREF _Toc3323541 h 95 HYPERLINK l _Toc3323542 6.1.1. 培訓理念 PAGEREF _Toc3323542 h 95 HYPERLINK

17、l _Toc3323543 6.1.2. 培訓中心介紹 PAGEREF _Toc3323543 h 95 HYPERLINK l _Toc3323544 6.1.3. 培訓師資 PAGEREF _Toc3323544 h 96 HYPERLINK l _Toc3323545 6.1.4. 培訓體系 PAGEREF _Toc3323545 h 96 HYPERLINK l _Toc3323546 6.2. 針對本項目的培訓計劃 PAGEREF _Toc3323546 h 98 HYPERLINK l _Toc3323547 6.2.1. 培訓目的 PAGEREF _Toc3323547 h 98

18、 HYPERLINK l _Toc3323548 6.2.2. 培訓內容及進度 PAGEREF _Toc3323548 h 99 HYPERLINK l _Toc3323549 6.2.3. 標準培訓 PAGEREF _Toc3323549 h 100 HYPERLINK l _Toc3323550 6.2.4. 現場培訓 PAGEREF _Toc3323550 h 100 HYPERLINK l _Toc3323551 6.2.5. 廠家授權培訓 PAGEREF _Toc3323551 h 100 HYPERLINK l _Toc3323552 第7章 附錄 PAGEREF _Toc3323

19、552 h 104 HYPERLINK l _Toc3323553 7.1. 設備廠商介紹H3C公司概述 PAGEREF _Toc3323553 h 104 HYPERLINK l _Toc3323554 7.2. H3C領先的WLAN解決方案提供商 PAGEREF _Toc3323554 h 104 HYPERLINK l _Toc3323555 7.3. H3C WLAN產品技術優(yōu)勢說明 PAGEREF _Toc3323555 h 106 HYPERLINK l _Toc3323556 7.4. 部分案例 PAGEREF _Toc3323556 h 115需求分析總體要求無線網工程的總體原

20、則如下：側重實際應用，覆蓋農村中小學的整體校園環(huán)境提供切實可用的、穩(wěn)定的無線網絡環(huán)境。采取先進通行的協(xié)議標準，即目前無線局域網普遍采用802.11系列標準，無線局域網提供802.11a、802.11b/g、802.11n、802.11ac標準的聯(lián)網支持，提供可供實際應用的穩(wěn)定網絡通訊服務。實現室內無線網絡的合理分布，考慮室內實現無線網絡的不同情況和特點以及目前學生教室手提電腦用戶數量日益增多的情況，應采取合理的布網方式滿足現在以及未來發(fā)展的需要。無線網系統(tǒng)必須實現與南京大學有線網現有認證系統(tǒng)對接，從而實現校園有線網與無線網的統(tǒng)一身份認證。項目需求概述建設農村中小學包括教學樓、辦公樓等大樓的無線

21、網絡，采用802.11n、802.11ac雙頻室內型及室外型AP覆蓋，保證無線網絡覆蓋的性能。技術需求分析為保證信號覆蓋效果，室內無線AP輸出點信號強度-73dbm；根據實際的情況選擇供電方式為了滿足大容量并且以備擴容和發(fā)展，室內無線AP要求必須支持兩個射頻模塊，可以同時工作在2.4GHz和5.8GHz頻段；無線接入點（AP）必須至少支持IEEE802.11a、IEEE802.11b/g、IEEE802.11n、IEEE802.11ac五種無線傳輸協(xié)議，在保證高速無線接入的同時對老舊無線網卡的支持；無線AP必須支持無線用戶的隔離功能，以防止在公共區(qū)域無線用戶間的信息泄露；無線AP必須支持Mul

22、ti SSID功能，AP自身具備為不同SSID無線用戶接入有線網絡或互聯(lián)網絡提供不同身份認證策略的功能；無線AP自身應具備智能的、無需要輔助設備就可根據周圍電磁波環(huán)境的變化，自動進行頻道最優(yōu)化設置，以達到最優(yōu)化覆蓋的目的；無線AP之間可根據相互通告來獲取對方連接的用戶數量及流量，從而實現AP的負載均衡，并支持用戶在不同AP間平滑漫游；無線AP支持射頻(RF)信號加密特性，支持802.11i安全標準，提供WPA2認證機制可同時提供TKIP以及AES加密方式，且AP具有自動識別客戶端兩種加密請求方式；無線系統(tǒng)的用戶認證頁面需要能夠支持個性化定制，并完成與校園網當前使用的認證系統(tǒng)對接，從而實現無線用

23、戶上網時的接入認證，以達到對校園網上網用戶進行統(tǒng)一認證及管理的目的；無線系統(tǒng)須支持WPA以及WPA2認證，支持WPA/WPA2安全規(guī)范，支持標準的802.1x認證流程，內嵌Radius Server，支持EAP-MD5，EAP-TLS，EAP-TTLS，PEAP等多種認證協(xié)議；系統(tǒng)須支持基于MAC地址的認證，以及用戶賬號與MAC地址的綁定認證；由于本次無線項目部署的AP數量較大，因此，需要采用大容量控制器來簡化管理。無線校園網建設方案整體方案基于網絡的先進性考慮，本次農村中小學無線網絡設備項目采用目前主流的無線控制器+瘦AP的架構,在實現對校園進行無縫覆蓋的同時，又能夠實現對無線網絡的靈活管理

24、配置,提高網絡維護效率。由于本次項目所需室內型AP總數多，隨著無線用戶的增加，將來無線網絡的對設備的壓力勢必非常大。因此在本次無線校園網解決方案采用高端無線控制器WX3510E，實現對于本期無線校園網中所有的AP的統(tǒng)一管理。AP采用H3C WA4320i-ACN雙頻AP、WA2610H單頻AP以及H3C WA4320X室外型AP，WA 4320i 、WA4320X都支持兩個射頻模塊，可以同時工作在2.4GHz和5GHz，在設備數量不變的情況下，把網絡的接入容量提高一倍，以滿足WLAN用戶快速增長的需求；供電方式的選擇如果實際環(huán)境需要可以直接采用本地供電的方式。如果較難進行本地供電，也可使用PO

25、E/POE+交換機，基于標準的802.3af/802.3at實現對AP的供電。無線認證方案H3C WLAN 用戶接入認證功能概述用戶接入認證用戶接入認證實現了對接入用戶的身份認證，為網絡服務提供了安全保護。H3C無線接入認證主要有802.1x接入認證、PSK認證、MAC接入認證以及有線網絡常用的portal認證和PPPOE/L2TP認證，H3C的無線產品還可以支持國家WAPI標準規(guī)定的終端接入認證協(xié)議。在下文中只是詳細描述802.1x接入認證、PSK認證、MAC接入、Portal認證、PPPOE/L2TP認證等。動態(tài)控制用戶權限接入認證只解決了用戶的身份驗證問題，而無法對不同身份的用戶提供不同

26、等級的服務和訪問權限，通過和AAA服務器配合，H3C的無線設備支持對認證用戶動態(tài)下發(fā)帶寬、VLAN、ACL、優(yōu)先級等參數，對于不同的用戶群和業(yè)務可以控制其訪問網絡的權限，限制網絡資源的使用，通過VLAN和優(yōu)先級來標識用戶和業(yè)務，并做到業(yè)務隔離。Hotspot用戶隔離隨著無線終端的普及，運營商目前都在大力開展無線熱點業(yè)務，而其中一個重要需求是希望所有用戶的數據流量在AP本地不做交換，而都必需經由BRAS設備交換和控制。Hotspot用戶隔離通過限制相同SSID下的接入用戶的互訪，可以保證未認證用戶無法在AP上做互訪。Portal認證（Web認證）Portal認證又稱為強制WEB認證，以其新業(yè)務支

27、撐能力強大、無需安裝客戶軟件、與組網設備無關等特點，受到越來越多用戶的歡迎。Portal認證業(yè)務可以為管理者提供方便的管理功能，如要求所有的用戶都到門戶網站去認證，門戶網站可以開展廣告、信息服務、個性化的業(yè)務等，為信息傳播提供一個良好的載體。Portal認證原理Portal 認證協(xié)議主要應用于H3C公司提出的基于 WEB 的寬帶接入認證系統(tǒng)中，完成用戶的認證和授權。整個 Portal 認證過程涉及到了Portal 頁面，WX5004 和 iMC 服務器。Portal認證工作原理：未認證用戶在訪問網絡時，可以直接訪問為用戶免費開放的資源，當用戶要使用網絡中的收費資源時，設備會將用戶的http請求

28、重定向到Portal門戶網站，用戶必須在門戶網站進行認證，只有認證通過后才可以訪問這些資源。Portal認證的工作流程如下圖所示：圖 STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 2 Portal認證流程認證流程：用戶通過IE訪問需要授權的網絡資源，設備發(fā)現用戶還沒有通過認證則強制到Portal，Portal Server將WEB頁面強推給用戶，提示用戶需要進行認證。用戶在WEB頁面中輸入用戶名密碼并提交認證，Portal Server將認證信息發(fā)送給設備，設備將用戶信息轉換為Radius報文發(fā)送到iMC服務器進行認證。iMC服務器對用戶信息進行驗證，確認無誤后，下發(fā)認證

29、通過報文以及相應的權限控制信息給設備，設備放開用戶的上網權限，同時iMC服務器開始進行計費。上網期間，用戶PC和Portal Server定時發(fā)送心跳報文交互，以確保用戶沒有因異常原因下線。用戶下線時，Portal Server收到用戶下線請求并通知設備，iMC服務器終止計費并通知設備斷開用戶。Portal功能特點不需要安裝客戶端軟件相對于其他的認證方式，Portal認證通過網頁即可實現認證，無需安裝客戶端。不但減少了用戶機器的負擔，而且方便了上網用戶的使用，同時管理者也不用逐一為每個上網用戶安裝和升級客戶端軟件，極大減輕管理難度。可對在線用戶進行實時檢測用戶認證通過后，Portal Serv

30、er和用戶之間采用心跳機制保持通信，當終端用戶的機器出現異常時，比如：死機、網絡斷線、異常關閉瀏覽器等情況出現時，Portal Server就可以及時發(fā)現用戶側的問題，并通知設備將此終端用戶下線并且停止計費；同時Portal Server支持開啟或者關閉心跳，也可以設置心跳的間隔和心跳超時時長，這種功能使心跳檢測更加靈活，大大提高了計費精度和對復雜的網絡的適應能力。具有按用戶接入端口分組的功能，可為不同組用戶提供不同的配置Portal認證可以根據用戶所在交換機的端口以及用戶所在的IP地址池，將用戶劃分為不同的組，每個組都可以設置不同的認證主頁、不同的認證方式，從而方便對不同的用戶進行管理。同時

31、PORTAL所有的認證頁面都使用了動態(tài)頁面技術，管理員可以根據不同用戶群的特點，定制特色認證頁面，極大提高用戶使用滿意度。支持二次地址分配和NAT功能為了減少公網IP地址資源的浪費，PORTAL通過與設備的配合，使用戶在認證前使用的是私網IP，認證成功后再分配公網IP，從而保證了公網IP地址的更加合理的應用。如果用戶的IP地址經過了NAT轉換，再經過PORTAL服務進行認證，PORTAL服務器支持開啟NAT功能，可以為用戶下載一個APPLET，獲取用戶的實際IP地址，再通過設備進行認證。支持認證窗口的最小化功能 用戶在認證通過后，Portal支持在線窗口可以最小化到任務欄，以減少對用戶上網的影

32、響。防止窗口過濾的功能 很多上網用戶出于安全的考慮或者防止網上的垃圾廣告，會安裝個人防火墻或者窗口過濾工具，來防止IE 彈出窗口。如果用戶的IE開啟了窗口過濾的功能，Portal在彈出認證成功窗口時，會進行窗口過濾的檢測，從而防止由于窗口過濾而無法認證成功的情況。802.1x接入認證以設備端PAE對EAP報文進行中繼轉發(fā)為例。在WLAN應用網絡中，WLAN客戶端Station為客戶端PAE，提供WLAN服務的設備為設備端PAE。設備端通過產生一個隨機Challenge發(fā)送給客戶端；客戶端會使用配置的密鑰對該Challenge進行加密處理并將處理后的信息返回設備端；設備端根據客戶端返回的加密后的

33、Challenge以及原始的Challenge進行比較判斷，設備端完成對客戶端的單項認證。為了提高WLAN服務的數據安全性，IEEE 802.1x和IEEE802.11i中使用了EAPOL-Key的協(xié)商過程，設備端和客戶端實現動態(tài)密鑰協(xié)商和管理；同時通過802.1x協(xié)商，客戶端PAE和設備端PAE協(xié)商相同的一個種子密鑰PMK（參見IEEE802.11i），進一步提高了密鑰協(xié)商的安全性。802.1x支持多種EAP認證方式，如EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-MD5、EAP-SIM等，其中EAP-TLS為基于用戶安全證書的身份驗證。EAP-TLS 是一種相互的身份驗證方法

34、，也就是說，客戶端和服務器端進行相互身份驗證。在EAP-TLS 交換過程中，遠程訪問客戶端發(fā)送其用戶證書，而遠程訪問服務器發(fā)送其計算機證書。如果其中一個證書未發(fā)送或無效，則連接將終斷。在無線局域網應用中，當EAP TLS認證成功時，客戶端PAE和Radius服務器會對應產生公用的對稱的Radius Key，Radius服務器會在認證成功消息中將Radius Key通知設備端PAE?？蛻舳薖AE和設備端PAE會根據該Radius Key，客戶端MAC地址以及設備端MAC地址，產生種子密鑰PMK以及對應的索引PMKID。根據IEEE802.11i協(xié)議定義的算法，設備端PAE和客戶端PAE可以獲得相

35、同的PMK，該種子密鑰將在密鑰協(xié)商過程（EAPOL-Key密鑰協(xié)商）中使用。PSK接入認證PSK接入認證為IEEE802.11i定義的一種新的接入認證方式，該認證方式僅支持WLAN接入客戶端。PSK認證需要實現在客戶端和設備端配置相同的預共享密鑰，而具體的認證過程實際上在密鑰協(xié)商過程（EAPOL-Key密鑰協(xié)商過程）中完成。在密鑰協(xié)商過程中，預共享密鑰將作為輸入生成密鑰協(xié)商使用的PMK。可以通過是否能夠對協(xié)商的消息成功解密，來確定本端配置的預共享密鑰是否和對端配置的預共享密鑰相同，完成設備端和客戶端的互相認證。如果密鑰協(xié)商成功，則表明PSK接入認證成功；如果密鑰協(xié)商失敗，則可以認為PSK接入認

36、證失敗。在WLAN應用中，PSK接入認證可以和MAC接入認證配合使用；但是對于一個客戶端不能同時進行PSK接入認證和802.1x接入認證。在WLAN客戶端和WLAN建立鏈路協(xié)商過程中，WLAN會為接入用戶選擇所使用的認證方式。這個在802.11用戶接入過程的描述中，會給出相應的描述。MAC接入認證MAC接入認證是另外一種接入認證方式。MAC接入認證主要為當設備端發(fā)現客戶端的MAC地址為未知的MAC地址時，設備端會發(fā)起對客戶端的MAC地址的認證。MAC接入認證也使用Radius服務器對客戶端進行認證。當MAC接入認證發(fā)現當前接入的客戶端為未知客戶端，會主動向Radius服務器發(fā)起認證請求。Rad

37、ius服務器完成對該客戶端的認證，并通知設備端認證結果以及相應的授權信息。MAC接入認證過程不需要客戶端參與，MAC接入認證可以支持有線用戶和WLAN用戶。無線局域網雖然沒有明確采用MAC認證，當時在實際的無線局域網應用中，無線局域網會將MAC認證和其它的認證方式一起配合使用。例如，可以同時使用MAC接入認證和PSK認證。PSK認證完成密鑰協(xié)商以及預共享密鑰確認；而MAC接入認證除了實現MAC地址認證外，還可以實現對該用戶的計費、授權。EAP終結和本地認證雖然802.1x是目前802.11i定義推薦的無線認證方式，但目前的市場現狀是一些企業(yè)和單位正在使用的AAA服務器不支持802.1x接入認證

38、方式，無法處理EAPOL報文，為了能夠兼容這些企業(yè)已經部署的AAA服務器，同時又能夠提供安全的802.1x無線接入認證服務，H3C的無線產品支持對用戶EAP報文的終結，H3C的無線產品和AAA服務器之間采用標準的AAA協(xié)議，而不是EAP over AAA協(xié)議。通過該功能可以有效的保護用戶已有的投資，不對用戶已有的認證服務器做改動。此外針對一些中小企業(yè)客戶不具備AAA服務器的現狀，H3C的無線產品內置了本地認證server功能，用戶在開展無線安全接入服務時不再需要單獨部署一臺AAA服務器，這可以有效的節(jié)省用戶的投資，同時減少用戶的維護工作量。本項目的認證方式本項目的認證方式可以采用Portal認

39、證（無需安裝客戶端），當終端接入無線網絡后不能訪問任何網絡資源，用戶輸入任何地址都會被重定向到控制器上的Portal頁面，用戶輸入用戶名密碼后，無線控制器把用戶名密碼送給現有認證計費認證系統(tǒng)進行認證，認證計費系統(tǒng)如果認證成功，則在給無線控制器發(fā)送認證成功的消息的同時啟動計費，這樣當用戶的流量通過計費網關的時候，就不會再彈出認證窗口。本項目推薦的FIT AP組網方案可以支持以上認證方式，根據用戶的使用習慣，采用Portal認證的方式為管理者可提供更方便的管理功能，不需要安裝客戶端，用戶打開IE瀏覽器輸入任何地址時將自動彈出要求認證的對話框，要求輸入用戶名和密碼進行認證，在通過認證審核后用戶采用聯(lián)

40、入網絡，同時在數據傳輸過程中可以對傳輸數據進行加密處理以保證數據的安全性。在認證的具體實現方面，網絡中心機房部署的已有的CAMS認證服務器建立并維護用戶數據，對接入用戶進行最終的授權，由學校已有的認證設備做為認證接入網關，并推出Portal認證方式的IE認證頁面，并同無線網管軟件共同實現對用戶的管理。當用戶在AP內進行切換時，此時的主要工作由無線控制器進行統(tǒng)一調度，當用戶在不同AP的覆蓋范圍時用戶不會再次觸發(fā)認證，從而不影響無線用戶的業(yè)務使用質量與無線用戶在不同AP之間的漫游切換速度。H3C無線頻譜分析方案H3C AirMaster采用與AirMagnet Spectrum XT合作，提供專業(yè)

41、的專業(yè)頻譜分析儀解決方案。AirMagnet Spectrum XT 是首個專業(yè)頻譜分析儀解決方案，融合深度 RF 分析和實時 WLAN 信息，可以更迅速、更準確地排除性能問題故障?！癛F 干涉對于網絡整體性能的影響分析”的深刻見解有助于準確找出上述問題的根本原因。 能夠主動識別和發(fā)現射頻干擾源業(yè)界最大的 RF 干擾源分類數據庫，可自動應答性能問題依據 Wi-Fi 影響分析功能優(yōu)先排序問題/干擾源自定義簽名允許即時響應干擾問題，提供獨立分類更新 AirMagnet Spectrum XT 是適用于網絡工程師和安裝人員/集成商排除故障和部署 WLAN 網絡的理想解決方案，并且可以使用普遍和方便的

42、 USB 形狀因子，允許其應用于任何筆記本、上網本或者平板電腦。干擾源自動身份證明和定位AirMagnet Spectrum XT 可實時探測并確定大量非 WLAN 干擾源，該干擾源會干擾和降低 WLAN 網絡性能。設備或干擾源名單包括藍牙設備、數字和模擬無繩電話、傳統(tǒng)和變頻微波爐、無線游戲控制器、數字視頻轉換器、嬰兒監(jiān)視器、RF 干擾發(fā)射臺、雷達、運動探測器和 zigbee 設備等等。 用戶也可獲得干擾源的詳細信息，包括峰值和平均功率、首次和最后看到的時間、中心頻率、受影響的信道、干擾源被偵測到的次數等等。借助另一部被插入同一電腦的藍牙適配器，AirMagnet Spectrum XT 可提

43、供藍牙的 ID、姓名、服務等信息，以便進行高級藍牙干擾源分析。 借助 AirMagnet Spectrum XT 內置的“設備定位器工具”，用戶完全可以找到在 RF 環(huán)境內運行的所有 Wi-Fi 或非 WiFi 干擾源。設備定位器工具的操作如同 Geiger 計數器，并且會在用戶逐漸靠近設備位置時發(fā)出嗶嗶警示音。 高分辨率 RF 頻譜診斷視圖關鍵圖表包括：實時 FFT - 實時查看環(huán)境內的 RF 能量以及當前、最大、最大持有和平均 RF 信號電平。 頻譜密度 - 顯示當前捕獲期間常見信號的實時信息，查看更長周期的網絡性能。這對于識別少有的發(fā)射機極為有用。 譜圖 - 滾動顯示 RF環(huán)境的歷史，并

44、且允許可視化了解頻譜隨著時間的演變，查看可能造成 WLAN 網絡問題的 RF 能量斷斷續(xù)續(xù)的釘或爆炸。burst 占空比 - 顯示干擾信號出現的頻率。占空比高意味著干擾源不斷傳輸信號，最有可能對受其影響的通道帶來問題。 事件頻譜 - 顯示過去 5 分鐘檢測到的干預設備的實時信息。它包括受設備影響的功率電平和信道/頻率信息。 通道功率 - 顯示選定頻帶所有通道的最大和平均電平。 干擾 - 顯示選定信道上干擾設備的平均功率讀數。 信道占空比及干擾功率與時間趨向對比- 顯示超出噪音基線的信道平均功率以及運行中干擾設備的最大平均功率讀數。 可視化 RF 干擾對于 WLAN 性能的沖擊為優(yōu)化和確保頂級

45、WLAN 性能，AirMagnet Spectrum XT 引入了一種革命性的無線故障排除方法，完美結合了 RF 頻譜分析和 WLAN 流量與設備分析的強大優(yōu)勢。用戶可以插入任何受支持的無線適配器，即時查看合并的單一屏幕視圖，該屏幕顯示了 RF 干擾或干擾源對于 WLAN 整體真實性能的影響。 AirMagnet Spectrum XT 還可提供環(huán)境內運行的所有 Wi-Fi 設備極其配置的完整庫存清單。用戶有權獲得大量 Wi-Fi 圖表，以便更快速、高效率地解決問題，其中包括： AP 信號強度 依速度/地址/媒體分類之信道 依 CRC 或重試分類之頂級 10 AP 信道 SNR; 錯誤/重試

46、信道利用率 信道占用度自定義簽名借助其創(chuàng)建適用于任何 RF 干擾設備的自定義簽名的獨特能力，AirMagnet Spectrum XT 可提供更高效排除任何 RF 干擾問題故障的方法，從而節(jié)約大量時間和昂貴的信息技術資源。 企業(yè)用戶需要在 RF 干擾源對 WLAN 性能產生重大影響之前分類網絡或環(huán)境獨一無二的重復違規(guī)者。借助 AirMagnet Spectrum XT，用戶可以創(chuàng)建適用于任何干擾源的自定義簽名。創(chuàng)建簽名非常簡單，用戶首先捕獲干擾源簽名，并使用 AirMagnet Spectrum XT 創(chuàng)建自定義簽名，以便在設備再次遇到同樣問題時自動分類干擾源。 集成 AirMagnet Wi

47、Fi Anlayzer 和 AirMagnet Survey在同一臺電腦上運行 AirMagnet WiFi Analyzer PRO 和 AirMagnet WiFi Analyzer PRO AirMagnet Spectrum XT 的用戶可以查看到 RF 頻譜內每個信道的非 WLAN 干擾。簡單的顏色指示器指向 RF 干擾源對于 WLAN 網絡性能的影響級別。此類信息可幫助用戶規(guī)劃當前和計劃的 WLAN 基礎架構的信道設置。 在同一臺機器上運行 AirMagnet Spectrum XT 的 AirMagnet Survey PRO 用戶可同時執(zhí)行 RF 頻譜勘測或搜索，而作為被動或主

48、動躍勘測，它可減少繞行時間。用戶也可得到 AirMagnet Spectrum XT 在 AirMagnet 勘測期間偵測到的干擾源清單。 紀錄和回放AirMagnet Spectrum XT 用戶可以保存 RF 頻譜掃瞄結果，保留為真憑實據，并且隨后回放，以便于捕獲后調查和分析。當調查任何層級 1 服務取消攻擊 WLAN 網絡時，這可作為重要法庭信息，因此極其有用。用戶也可彼此共享保存的曲線文件，以便進行合作分析和故障排除。 AirMagnet Spectrum XT 的即時重播功能允許用戶回顧最近的頻譜信息并回放，如同首次實時查看。系統(tǒng)要求筆記本電腦/平板電腦操作系統(tǒng)：Microsoft

49、Windows XP Professional (SP3)、Microsoft Windows 2003 Server、Microsoft Windows 7 Enterprise/Professional/Ultimate、Microsoft Windows Vista Business 或 Ultimate (SP2) 或平板電腦版本 2005 (SP3)注意：僅 Microsoft Windows 7 支持的 64 位操作系統(tǒng)Intel Core 2 Duo 2.00 GHz 或更高要求 1 GB RAM(建議 2 GB)150 MB 可用硬盤空間Microsoft .NET 架構 2.

50、0 上網本操作系統(tǒng)：Microsoft Windows XP Home、Microsoft Windows 7 Home Premium、Microsoft Windows 7 StarterIntel Atom N270/1.6 GHz CPU 或 N470 處理器（1.83 GHz，667MHz FSB）Microsoft .NET 架構 2.01 GB 內存（建議 2 GB）RF 頻譜分析(運行 Spectrum XT 必須使用 RF 頻譜適配器; 查看 RF 頻譜數據和分類非 Wi-Fi 干擾源)AirMagnet Spectrum XT 適配器(USB 形狀因子) 天線：包裝含一根全

51、方位天線。 更多 Wi-Fi 分析 (可選的 AirMagnet 支持的 Wi-Fi 適配器)除 AirMagnet Spectrum USB 適配器支持的頻譜功能之外，AirMagnet Spectrum XT 提供更多 Wi-Fi 分析功能。這不會改變 AirMagnet Spectrum USB 適配器的要求， 一旦缺乏該適配器，AirMedic USB 無法正常工作。 更多藍牙分析使用可選的 Windows 兼容的藍牙適配器，AirMagnet Spectrum XT 可提供高級藍牙干擾源信息。高級信息包括藍牙設備的名稱、ID、服務等詳情。 用戶可使用電腦內置的藍牙適配器或外部適配器。

52、藍牙適配器范例之一即是經由 AirMagnet 測試的 IOGEAR GBU421 藍牙適配器。 注意：強烈建議用戶始終使用 Microsoft 開發(fā)的藍牙設備驅動程序，而非供應商提供的驅動程序。此驅動程序已被置入 Windows XP (SP3)、Vista、 7 操作系統(tǒng)。請參閱 Microsoft 網站，獲取其他操作系統(tǒng)驅動程序。小結：一：基本功能掃描 2.4G、5G、4.9G 頻段，并能定位Wi-Fi 干擾源檢測、識別、定位非Wi-Fi 射頻干擾源，如：藍牙、微波爐、無線游戲手柄、無繩電話，Zigbee等RF 頻譜分析實時FFT圖頻譜密度圖頻譜直方圖信道能量圖干擾能量圖信道占空比事件直

53、方圖信道占空比/時間趨勢圖干擾能量/時間趨勢圖非 Wi-Fi 設備 （實時、歷史、匯總）圖Wi-Fi 分析AP 信號強度信道統(tǒng)計/速度/地址/媒體類型按照CRC錯誤及重傳前10位的AP信道信噪比信道錯誤/重試信道利用率信道負載獨特、創(chuàng)新的利用頻譜分析診斷WLAN的故障 （可視化）頻譜記錄、快速回放二：技術參數頻率范圍：2402 2494 MHz 51605330 MHz 54905710MHz 57355835MHz 4910 4990MHz2. 頻譜卡：108.2 38.18 毫米 ；31.2 毫克；070 攝氏度； 5伏直流/2瓦3. 振幅 +/- 2dB；分辨率 156.3KHz4. 掃

54、描時間 64msec/每信道（20MHz）無線安全方案無線SAVISAVI（Source Address Validation，源地址有效性驗證）特性應用在接入設備上，通過ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的綁定關系表，并且以綁定關系為依據對DHCPv6協(xié)議報文、ND協(xié)議報文和IPv6數據報文的源地址進行合法性的過濾檢查。在一個用戶較多的網絡中，對用戶地址的管理是一項比較麻煩的事情，如果用戶自己隨心所欲的配置自己的網絡地址，那么對地址的管理就會非常困難，地址的利用率也會較低。通過本特性，可以實現對用戶地址的統(tǒng)一管理

55、，只允許用戶通過DHCPv6或SLAAC方式獲取IPv6地址，而通過手工配置的地址是無法通過合法性檢測的，從而控制該用戶對網絡的訪問權限。ClientACLSWAPDibbler Server圖 STYLEREF 1 s 3 SEQ 圖 * ARABIC s 1 10無線IPv6 SAVI組網圖無線SAVI典型配置主要配置步驟(1) 配置AC、AP通過IPv6建立關聯(lián)。# 在AC上使能IPv6并配置IPv6地址。AC ipv6AC interface Vlan-interface1AC-vlan1 ipv6 address 3001:1:1/64# 配置服務模板并使用SAVI功能。AC wla

56、n service-template 1 clearAC-wlan-st-1 ssid IPv6_SAVIAC-wlan-st-1 bind WLAN-ESS 1AC-wlan-st-1 ip-check-sourceAC-wlan-st-1 service-template enable# 創(chuàng)建AP管理模板，其名稱為ap1，型號名稱這里選擇WA2620-AGN。AC wlan ap ap1 model WA2620-AGN# 設置AP的序列號為210235A29F007C000182。AC-wlan-ap-ap1 serial-id 210235A29F007C000182# 進入radio

57、2射頻視圖。AC-wlan-ap-ap1 radio 2# 將在AC上配置的服務模板1與射頻2進行關聯(lián)。AC-wlan-ap-ap1-radio-2 service-template 1# 使能AP的radio 2。AC-wlan-ap-ap1-radio-2 radio enableAC-wlan-ap-ap1-radio-2 quitAC-wlan-ap-ap1 quit# 在交換機上配置路由公告。LSW ipv6LSW interface Vlan-interface1LSW ipv6 address 3001:1:2/64LSW ipv6 nd ra prefix 3001:1:/64

58、 500 400LSW undo ipv6 nd ra halt# 配置AP，使其與AC通過IPv6建立關聯(lián)。AP ipv6AP interface Vlan-interface1AP-vlan1 ip address 0 AP-vlan1 ipv6 address autoAP-vlan1 quitAP wlan ac ipv6 3001:1:1SLAAC方式。# 在AP上配置 ND Snooping功能。AP ipv6 nd snooping enable globalAP ipv6 nd snooping enable link-localAP interface Vlan-interf

59、ace1AP-vlan1 ipv6 nd snooping enableDHCPv6方式。#將ND相關配置刪除再配置DHCP相關配置。AP undo ipv6 nd snooping enable globalAP undo ipv6 nd snooping enable link-localAP interface Vlan-interface1AP-vlan1 undo ipv6 nd snooping enable AP-vlan1 quitAP ipv6 dhcp snooping enableAP interface GigabitEthernet1/0/1AP-GigabitEth

60、ernet1/0/1 ipv6 dhcp snooping trustAP-GigabitEthernet1/0/1 quitAP interface Vlan-interface1AP-vlan1 ipv6 dhcp snooping vlan enable#配置Dibbler Server，分配3001:1:100-3001:1:200的地址。#在Client上配置Dibbler Client，通過Dibbler Server獲取地址。驗證結果1、SLAAC方式，Client通過ND獲取地址后在AP上使用display 命令查看ND Snooping表項是否已建立綁定關系，若已建立，Cli